Secpath安全设备Web与邮件过滤典型配置.docVIP

安全产品实验报告 第一部分 Web 和邮件过滤 1.1实验内容 防火墙Web 地址过滤、Web 内容过滤、SQL 注入攻击防范、邮件地址过滤、邮件主题过滤、邮件内容过滤、邮件附件过滤 1.2实验目的 由于大家会经常接到咨询内容过滤的问题，但由于操作手册及配置实例中解释稍欠详细，所以这次做了这个实验对一些配置中需要注意的地方特别在配置中标明。 1.3Web和邮件过滤的介绍及原理 Web 和邮件过滤简介 在传统的网络安全方案中，对网络攻击的防范主要针对于来自外部的各种攻击。但是随着网络在各行各业的普及，来自一个局域网内部的攻击也越来越多，这就要求网络设备能够应对构建安全内网的需求，需要增加内网安全特性。 防火墙的Web 和邮件过滤功能可以阻止内部用户访问非法的网址或访问含有非法内容的网页，防止内网用户向外网非法邮件地址发送邮件或向外发送与工作无关的邮件。当内部网络受到外部的攻击时，通过邮件告警功能，可以向网络管理员发送告警邮件，通知网络管理员采取相应措施。 SecPath 防火墙还提供了对来自外部的SQL（Structure Query Language，结构化查询语言）注入攻击进行防范的功能。防火墙通过检查接收到的HTTP 报文中的HTTP 命令以判断其是否为对数据库的攻击，从而有效的保护网络中数据库的安全。 自己理解的原理 Web和邮件过滤的实现是建立在aspf应用层\传输层协议检测基础上的，状态防火墙――ASPF（Application Specific Packet Filter）是针对应用层及传输层的包过滤，即基于状态的报文过滤。它能够检查应用层协议信息，如报文的协议类型和端口号等信息，并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF 维护并用于动态地决定数据包是否被允许通过防火墙进入内部网络，以便阻止恶意的入侵。 如上图所示，为了保护内部网络，一般情况下需要在安全网关上配置静态访问控制 列表，以便允许内部网的主机的访问外部网络，同时拒绝外部网络的主机访问内部 网络。但静态访问控制列表会将用户发起连接后返回的报文过滤掉，导致连接无法 正常建立。当在安全网关上配置了应用层协议检测后，ASPF 可以检测每一个应用 层的会话，并创建一个状态表和一个临时访问控制表（TACL）。状态表在检测到第 一个外发报文时创建，用于维护了一次会话中某一时刻会话所处的状态，并检测会 话状态的转换是否正确。临时访问控制列表的表项在创建状态表项的时候同时创建， 会话结束后删除，它相当于一个扩展ACL 的permit 项。TACL 主要用于匹配一个会 话中的所有返回的报文，可以为某一应用返回的报文在防火墙的外部接口上建立了 一个临时的返回通道。 而web和邮件过滤的原理就是，通过配置相应过滤关键字，打开对应的http\snmp\tcp aspf应用检测，当数据包不和关键字匹配时动态的创建tacl建立临时通道，当关键字匹配 时，不建立临时通道，以起到过滤功能。 1.4实验设备 SecPath 1000F、SecEngine D200、s2016-ei 1.5实验环境及组网 注：由于，公司对mac地址的限制，所以不能直接不能直接把防火墙连接到外网做过滤测试，所以我拿了一台支持web网管的设备作为web服务器做web测试，邮件过滤通过在和以前公司同事帮忙，在外网测试。 1.6实验步骤 搭建网络环境，配置防火墙基本配置，设为透明模式，将相应接口加入区域，配置管理ip地址，确保下接pc能够正常访问web页面、发送邮件。 配置aspf策略，打开detect http，detect smtp ，detect tcp；配置web、邮件过滤命令。[Quidway]dis cu # sysname Quidway # FTP server enable # dvpn service enable # firewall packet-filter enable # firewall url-filter host enable （使能Web 地址过滤功能） firewall url-filter host add deny （deny\permit 添加web地址过滤地址） firewall url-filter parameter enable (使能SQL 注入攻击防范功能) firewall url-filter parameter add ^update^ (添加过sql注入过滤关键字) firewall url